《第4章网络攻击及防御技术1》由会员分享,可在线阅读,更多相关《第4章网络攻击及防御技术1(75页珍藏版)》请在金锄头文库上搜索。
1、网络攻击及防御技术网络攻击及防御技术内容内容l l网络攻击案例网络攻击案例网络攻击案例网络攻击案例l l网络攻击及防御技术网络攻击及防御技术网络攻击及防御技术网络攻击及防御技术为什么要研究攻击技术为什么要研究攻击技术l知己知彼,百战不殆知己知彼,百战不殆中国中国中国中国孙子孙子孙子孙子lPay attention to your enemies, for they are the Pay attention to your enemies, for they are the first to discover your mistakes.first to discover your mista
2、kes.AntistthenesAntistthenesAntistthenesAntistthenes, 440 BC, 440 BC, 440 BC, 440 BCl了解网络安全的重要手段了解网络安全的重要手段l黑客攻击技术黑客攻击技术网络防护的一部分网络防护的一部分网络防护的一部分网络防护的一部分l研究网络攻击,是为了更加有效地对网络进行防护研究网络攻击,是为了更加有效地对网络进行防护技术繁多,没有明显的理论指导技术繁多,没有明显的理论指导技术繁多,没有明显的理论指导技术繁多,没有明显的理论指导一些技术,既是黑客技术,也是网络管理技术,或者一些技术,既是黑客技术,也是网络管理技术,或者一
3、些技术,既是黑客技术,也是网络管理技术,或者一些技术,既是黑客技术,也是网络管理技术,或者是网络防护技术是网络防护技术是网络防护技术是网络防护技术1、严峻的信息安全问题、严峻的信息安全问题l20002000年年2 2月月6 6日前后,美国日前后,美国YAHOOYAHOO等等8 8家大型网家大型网站接连遭受黑客的攻击,直接经济损失约为站接连遭受黑客的攻击,直接经济损失约为1212亿亿美元(网上拍卖美元(网上拍卖“电子港湾电子港湾”网站、亚网站、亚马逊网站、马逊网站、AOLAOL)l此次安全事故具有以下的特点:此次安全事故具有以下的特点:攻击直接针对商业应用攻击直接针对商业应用攻击直接针对商业应用
4、攻击直接针对商业应用攻击造成的损失巨大攻击造成的损失巨大攻击造成的损失巨大攻击造成的损失巨大信息网络安全关系到全社会信息网络安全关系到全社会信息网络安全关系到全社会信息网络安全关系到全社会2、急需解决的若干安全问题、急需解决的若干安全问题l信息安全与高技术犯罪信息安全与高技术犯罪1999199919991999年,上海年,上海年,上海年,上海XXXXXXXX证券部电脑主机被入侵证券部电脑主机被入侵证券部电脑主机被入侵证券部电脑主机被入侵2000200020002000年年年年2 2 2 2月月月月14141414日,中国选择网(上海)受到黑客攻日,中国选择网(上海)受到黑客攻日,中国选择网(上
5、海)受到黑客攻日,中国选择网(上海)受到黑客攻击,造成客户端机器崩溃,并采用类似攻击击,造成客户端机器崩溃,并采用类似攻击击,造成客户端机器崩溃,并采用类似攻击击,造成客户端机器崩溃,并采用类似攻击YAHOOYAHOOYAHOOYAHOO的手法,通过攻击服务器端口,造成内存耗尽和服的手法,通过攻击服务器端口,造成内存耗尽和服的手法,通过攻击服务器端口,造成内存耗尽和服的手法,通过攻击服务器端口,造成内存耗尽和服务器崩溃务器崩溃务器崩溃务器崩溃我国约有我国约有我国约有我国约有64%64%64%64%的公司信息系统受到攻击,其中金融的公司信息系统受到攻击,其中金融的公司信息系统受到攻击,其中金融的
6、公司信息系统受到攻击,其中金融业占总数的业占总数的业占总数的业占总数的57%57%57%57%不受欢迎的垃圾邮件的现象愈演愈烈不受欢迎的垃圾邮件的现象愈演愈烈不受欢迎的垃圾邮件的现象愈演愈烈不受欢迎的垃圾邮件的现象愈演愈烈1999199919991999年年年年4 4 4 4月月月月26262626日,日,日,日,CIHCIHCIHCIH病毒病毒病毒病毒“世纪风暴世纪风暴世纪风暴世纪风暴”媒体内容的安全性媒体内容的安全性媒体内容的安全性媒体内容的安全性凯文米特尼克凯文米特尼克l凯文凯文 米特尼克是美国米特尼克是美国2020世纪最著名的黑客之一,世纪最著名的黑客之一,他是他是“社会工程学社会工程
7、学”的的创始人创始人l19791979年他和他的伙伴侵年他和他的伙伴侵入了北美空防指挥部入了北美空防指挥部l19831983年的电影年的电影战争游战争游戏戏演绎了同样的故事,演绎了同样的故事,在片中,以凯文为原型在片中,以凯文为原型的少年黑客几乎引发了的少年黑客几乎引发了第三次世界大战第三次世界大战莫里斯蠕虫莫里斯蠕虫(MorrisWorm) l时间时间1988198819881988年年年年l肇事者肇事者-Robert T. Morris , -Robert T. Morris , -Robert T. Morris , -Robert T. Morris , 美国康奈尔美国康奈尔美国康奈尔
8、美国康奈尔大学学生,其父是美国国家安全局大学学生,其父是美国国家安全局大学学生,其父是美国国家安全局大学学生,其父是美国国家安全局安全专家安全专家安全专家安全专家l机理机理- - - -利用利用利用利用sendmailsendmailsendmailsendmail, finger , finger , finger , finger 等服务的等服务的等服务的等服务的漏洞,消耗漏洞,消耗漏洞,消耗漏洞,消耗CPUCPUCPUCPU资源,拒绝服务资源,拒绝服务资源,拒绝服务资源,拒绝服务l影响影响-Internet-Internet-Internet-Internet上大约上大约上大约上大约60
9、00600060006000台计算机感染,台计算机感染,台计算机感染,台计算机感染,占当时占当时占当时占当时Internet Internet Internet Internet 联网主机总数的联网主机总数的联网主机总数的联网主机总数的10%10%10%10%,造成,造成,造成,造成9600960096009600万美元的损失万美元的损失万美元的损失万美元的损失lCERT/CCCERT/CC的诞生的诞生-DARPA-DARPA-DARPA-DARPA成立成立成立成立CERTCERTCERTCERT(Computer Computer Computer Computer Emergency Re
10、sponse TeamEmergency Response TeamEmergency Response TeamEmergency Response Team),以应),以应),以应),以应付类似付类似付类似付类似“蠕虫(蠕虫(蠕虫(蠕虫(Morris WormMorris WormMorris WormMorris Worm)”事事事事件件件件网络攻击案例网络攻击案例l9494年末,俄罗斯黑客弗拉基米尔年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国一家小软件公司的联网计算机上,向美国CITYBANKCITYBANK银行发动了银
11、行发动了一连串攻击,通过电子转帐方式,从一连串攻击,通过电子转帐方式,从CITYBANKCITYBANK银行在纽约的计银行在纽约的计算机主机里窃取算机主机里窃取11001100万美元万美元l9696年年8 8月月1717日,美国司法部的网络服务器遭到黑客入侵,并将日,美国司法部的网络服务器遭到黑客入侵,并将“ “ 美国司法部美国司法部” ” 的主页改为的主页改为“ “ 美国不公正部美国不公正部” ” ,将司法部,将司法部部长的照片换成了阿道夫部长的照片换成了阿道夫希特勒,将司法部徽章换成了纳粹希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。党徽,并加上一幅
12、色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字此外还留下了很多攻击美国司法政策的文字 l9696年年9 9月月1818日,黑客光顾美国中央情报局的网络服务器,将其日,黑客光顾美国中央情报局的网络服务器,将其主页由主页由“ “ 中央情报局中央情报局” ” 改为改为“ “ 中央愚蠢局中央愚蠢局” ” l9696年年1212月月2929日,黑客侵入美国空军的全球网网址并将其主页肆日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都
13、是谎言。迫使美短的黄色录象,且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他国国防部一度关闭了其他8080多个军方网址多个军方网址网络攻击案例网络攻击案例l9898年年2 2月月2525日,美国国防部四个海军系统和七个空军系统的电日,美国国防部四个海军系统和七个空军系统的电脑网页遭侵入脑网页遭侵入l9898年年5 5月底,印度原子研究中心的主页月底,印度原子研究中心的主页( (www.barc.ernet.inwww.barc.ernet.in) )遭遭侵入侵入l9898年年8 8月月3131日,澳大利亚主要政党和政府官员的网站遭黑客袭日,澳大利亚主要政党和政府官员的网站遭黑客袭
14、击,网址被篡改击,网址被篡改l9898年年9 9月月1313日,纽约时报站点(日,纽约时报站点()遭黑客袭击)遭黑客袭击l20002000年年2 2月,著名的月,著名的YahooYahoo、eBayeBay等高利润站点遭到持续两天的等高利润站点遭到持续两天的拒绝服务攻击,商业损失巨大拒绝服务攻击,商业损失巨大l20022002年年3 3月底,美国华盛顿著名艺术家月底,美国华盛顿著名艺术家Gloria GearyGloria Geary在在eBayeBay拍拍卖网站的帐户,被黑客利用来拍卖卖网站的帐户,被黑客利用来拍卖 Intel PentiumIntel Pentium芯片芯片l2002200
15、2年年6 6月,日本月,日本20022002年世界杯组委会的官方网站由于黑客成年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战中美五一黑客大战l20012001年年5 5月月1 1日是国际劳动节,日是国际劳动节,5 5月月4 4日是中国的青年日是中国的青年节,而节,而5 5月月7 7日则是中国在南斯拉夫的大使馆被炸两日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。中国黑客在这几个重大的纪念日期周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击间对美国网站发起了大规模的攻击l美国部分被黑
16、网站美国部分被黑网站美国加利福尼亚能源部美国加利福尼亚能源部美国加利福尼亚能源部美国加利福尼亚能源部日美社会文化交流会日美社会文化交流会日美社会文化交流会日美社会文化交流会白宫历史协会白宫历史协会白宫历史协会白宫历史协会UPIUPIUPIUPI新闻服务网新闻服务网新闻服务网新闻服务网华盛顿海军通信站华盛顿海军通信站华盛顿海军通信站华盛顿海军通信站2001年中美黑客大战年中美黑客大战l事件背景和经过事件背景和经过4.14.14.14.1撞机事件为导火线撞机事件为导火线撞机事件为导火线撞机事件为导火线4 4 4 4月初,以月初,以月初,以月初,以PoizonB0xPoizonB0xPoizonB0
17、xPoizonB0x、pr0phetpr0phetpr0phetpr0phet为代表的美国黑客为代表的美国黑客为代表的美国黑客为代表的美国黑客组织对国内站点进行攻击,约组织对国内站点进行攻击,约组织对国内站点进行攻击,约组织对国内站点进行攻击,约300300300300个左右的站点页个左右的站点页个左右的站点页个左右的站点页面被修改面被修改面被修改面被修改4 4 4 4月下旬,国内红(黑)客组织或个人,开始对美月下旬,国内红(黑)客组织或个人,开始对美月下旬,国内红(黑)客组织或个人,开始对美月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,国网站进行小规模的攻击行动,国网
18、站进行小规模的攻击行动,国网站进行小规模的攻击行动,4 4 4 4月月月月26262626日有人发表日有人发表日有人发表日有人发表了了了了 “ “ “ “五一卫国网战五一卫国网战五一卫国网战五一卫国网战”战前声明,宣布将在战前声明,宣布将在战前声明,宣布将在战前声明,宣布将在5 5 5 5月月月月1 1 1 1日日日日至至至至8 8 8 8日,对美国网站进行大规模的攻击行动。日,对美国网站进行大规模的攻击行动。日,对美国网站进行大规模的攻击行动。日,对美国网站进行大规模的攻击行动。各方都得到第三方支援各方都得到第三方支援各方都得到第三方支援各方都得到第三方支援各大媒体纷纷报道,评论,中旬结束大
19、战各大媒体纷纷报道,评论,中旬结束大战各大媒体纷纷报道,评论,中旬结束大战各大媒体纷纷报道,评论,中旬结束大战被美国黑客更改的网页被美国黑客更改的网页中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网站国内某大型商业网站国内黑客组织更改的美国网站美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站这次事件中采用的常用攻击手法l红客联盟负责人在红客联盟负责人在5 5月月9 9日网上记者新闻发布会上对此日网上记者新闻发布会上对此次攻击事件的技术背景说明如下:次攻
20、击事件的技术背景说明如下: “ “我们更多的是我们更多的是一种不满情绪的发泄,大家也可以看到被攻破的都是一种不满情绪的发泄,大家也可以看到被攻破的都是一些小站,大部分都是一些小站,大部分都是NT/Win2000NT/Win2000系统,系统, 这个行动这个行动在技术上是没有任何炫耀和炒作的价值的。在技术上是没有任何炫耀和炒作的价值的。” ” l主要采用当时流行的系统漏洞进行攻击主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞l用户名泄漏,缺省安装的系统用户名和密码用户名泄漏,缺省安装的系统用户名和密码l Unicode Unicode 编码可穿越编码可穿越firewall,fire
21、wall,执行黑客指令执行黑客指令l ASPASP源代码泄露可远程连接的数据库用户名和密码源代码泄露可远程连接的数据库用户名和密码l SQL serverSQL server缺省安装缺省安装l微软微软Windows 2000Windows 2000登录验证机制可被绕过登录验证机制可被绕过l Bind Bind 远程溢出,远程溢出,LionLion蠕虫蠕虫l SUN SUN rpc.sadmindrpc.sadmind 远程溢出,远程溢出,sadminsadmin/IIS/IIS蠕虫蠕虫 lWu-Wu-FtpdFtpd 格式字符串错误远程安全漏洞格式字符串错误远程安全漏洞l拒绝服务拒绝服务 (
22、(synsyn-flood , ping )-flood , ping )这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞l用户名泄漏,缺省安装的系统用户名和密码用户名泄漏,缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码这次事件中被利用的典型漏洞lWindows 2000Windows 2000登录验证机制可被绕过登录验证机制可被绕过红色代码红色代码2001年年7月月19日,全球的入侵检测系统日,全球的入侵检测系统(IDS)几乎同时报几乎同时报告遭到不名蠕虫攻击告遭到不名蠕虫攻击在红色代码首次爆发的短短在红色代码首次爆发的短短9小时内,以迅雷不及掩耳小时内,以
23、迅雷不及掩耳之势迅速感染了之势迅速感染了250,000台服务器台服务器最初发现的红色代码蠕虫只是篡改英文站点主页,显示最初发现的红色代码蠕虫只是篡改英文站点主页,显示“Welcome to http:/! Hacked by Chinese!”随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动拒绝服务动拒绝服务(DoS)攻击以及格式化目标系统硬盘,并会在攻击以及格式化目标系统硬盘,并会在每月每月20日日28日对白宫的日对白宫的WWW站点的站点的IP地址发动地址发动DoS攻攻击,使白宫的击,使白宫的WWW站点不得不全部更改自己的站点不得不全部更改自
24、己的IP地址。地址。“红色代码红色代码”的蔓延速度的蔓延速度尼姆达尼姆达(Nimda)尼姆达是在尼姆达是在 911 恐怖袭击整整一个星期后出现的,当恐怖袭击整整一个星期后出现的,当时传言是中国为了试探美国对网络恐怖袭击的快速反应能时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒力而散布了尼姆达病毒尼姆达是在早上尼姆达是在早上9:08发现的,明显比红色代码更快、更发现的,明显比红色代码更快、更具有摧毁功能,半小时之内就传遍了整个世界。随后在全具有摧毁功能,半小时之内就传遍了整个世界。随后在全球各地侵袭了球各地侵袭了830万部电脑,总共造成将近万部电脑,总共造成将近10亿美元
25、的经亿美元的经济损失济损失传播方式包括:电子邮件、网络临近共享文件、传播方式包括:电子邮件、网络临近共享文件、IE浏览浏览器的内嵌器的内嵌MIME类型自动执行漏洞、类型自动执行漏洞、IIS服务器文件目录遍服务器文件目录遍历漏洞、历漏洞、CodeRedII和和Sadmind/IIS蠕虫留下的后门等蠕虫留下的后门等SQL Slammer蠕虫蠕虫Slammer的传播数度比的传播数度比“红色代码红色代码”快两个数量级快两个数量级在头一分钟之内,感染主机数量每在头一分钟之内,感染主机数量每8.5秒增长一倍;秒增长一倍;3分钟后该病毒的传播速度达到峰值(每秒钟进行分钟后该病毒的传播速度达到峰值(每秒钟进行
26、5500万次扫描);万次扫描);接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下降;接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下降;10分钟后,易受攻击的主机基本上已经被感染殆尽分钟后,易受攻击的主机基本上已经被感染殆尽30分钟后分钟后在全球的感染面积在全球的感染面积20032003年年8 8月月1111日首先被发现,然后迅速扩散,这时候日首先被发现,然后迅速扩散,这时候距离被利用漏洞的发布日期还不到距离被利用漏洞的发布日期还不到1 1个月个月该蠕虫病毒针对的系统类型范围相当广泛(包括该蠕虫病毒针对的系统类型范围相当广泛(包括Windows NT/2000/XPWindow
27、s NT/2000/XP)截至截至8 8月月2424日,国内被感染主机的数目为日,国内被感染主机的数目为2510025100万台万台全球直接经济损失几十亿美金全球直接经济损失几十亿美金RPC DCOM蠕虫蠕虫3、网络威胁、网络威胁l恶意代码及黑客攻击手段的三大特点恶意代码及黑客攻击手段的三大特点 :传播速度惊人传播速度惊人传播速度惊人传播速度惊人受害面惊人受害面惊人受害面惊人受害面惊人穿透深度惊人穿透深度惊人穿透深度惊人穿透深度惊人3、网络威胁、网络威胁l传播速度传播速度“大型推土机大型推土机大型推土机大型推土机”技术技术技术技术( ( ( (Mass rooter)Mass rooter)M
28、ass rooter)Mass rooter),是新一代是新一代是新一代是新一代规模性恶意代码具备的显著功能。规模性恶意代码具备的显著功能。规模性恶意代码具备的显著功能。规模性恶意代码具备的显著功能。这些恶意代码不仅能实现自我复制,还能自动攻这些恶意代码不仅能实现自我复制,还能自动攻这些恶意代码不仅能实现自我复制,还能自动攻这些恶意代码不仅能实现自我复制,还能自动攻击内外网上的其它主机,并以受害者为攻击源继击内外网上的其它主机,并以受害者为攻击源继击内外网上的其它主机,并以受害者为攻击源继击内外网上的其它主机,并以受害者为攻击源继续攻击其它网络和主机。续攻击其它网络和主机。续攻击其它网络和主机
29、。续攻击其它网络和主机。以这些代码设计的多线程和繁殖速度,一个新蠕以这些代码设计的多线程和繁殖速度,一个新蠕以这些代码设计的多线程和繁殖速度,一个新蠕以这些代码设计的多线程和繁殖速度,一个新蠕虫在一夜之间就可以传播到互联网的各个角落。虫在一夜之间就可以传播到互联网的各个角落。虫在一夜之间就可以传播到互联网的各个角落。虫在一夜之间就可以传播到互联网的各个角落。3、网络威胁、网络威胁l受害面受害面许多国家的能源、交通、金融、化工、军许多国家的能源、交通、金融、化工、军许多国家的能源、交通、金融、化工、军许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化事、科技和政府部门等关键
30、领域的信息化事、科技和政府部门等关键领域的信息化事、科技和政府部门等关键领域的信息化程度逐年提高,这些领域的用户单位的计程度逐年提高,这些领域的用户单位的计程度逐年提高,这些领域的用户单位的计程度逐年提高,这些领域的用户单位的计算机网络,直接或间接地与算机网络,直接或间接地与算机网络,直接或间接地与算机网络,直接或间接地与InternetInternetInternetInternet有所有所有所有所联系。联系。联系。联系。各种病毒、蠕虫等恶意代码,和各种黑客各种病毒、蠕虫等恶意代码,和各种黑客各种病毒、蠕虫等恶意代码,和各种黑客各种病毒、蠕虫等恶意代码,和各种黑客攻击,通过攻击,通过攻击,通
31、过攻击,通过InternetInternetInternetInternet为主线,对全球各行为主线,对全球各行为主线,对全球各行为主线,对全球各行业的计算机网络用户都造成了严重的影响。业的计算机网络用户都造成了严重的影响。业的计算机网络用户都造成了严重的影响。业的计算机网络用户都造成了严重的影响。3、网络威胁、网络威胁l穿透深度穿透深度蠕虫和黑客越来越不满足于攻击在线的网站,各种蠕虫和黑客越来越不满足于攻击在线的网站,各种蠕虫和黑客越来越不满足于攻击在线的网站,各种蠕虫和黑客越来越不满足于攻击在线的网站,各种致力于突破各种边界防线的攻击方式层出不穷。致力于突破各种边界防线的攻击方式层出不穷。
32、致力于突破各种边界防线的攻击方式层出不穷。致力于突破各种边界防线的攻击方式层出不穷。一个新的攻击手段,第一批受害对象是那些一个新的攻击手段,第一批受害对象是那些一个新的攻击手段,第一批受害对象是那些一个新的攻击手段,第一批受害对象是那些24242424小时小时小时小时在线的网站主机和各种网络的边界主机;在线的网站主机和各种网络的边界主机;在线的网站主机和各种网络的边界主机;在线的网站主机和各种网络的边界主机;第二批受害对象是与第二批受害对象是与第二批受害对象是与第二批受害对象是与InternetInternetInternetInternet联网的,经常收发邮联网的,经常收发邮联网的,经常收发
33、邮联网的,经常收发邮件的个人用户;件的个人用户;件的个人用户;件的个人用户;第三批受害对象是第三批受害对象是第三批受害对象是第三批受害对象是OAOAOAOA网或其它二线内网的工作站;网或其它二线内网的工作站;网或其它二线内网的工作站;网或其它二线内网的工作站;终极的受害对象可能会波及到生产网络和关键资产终极的受害对象可能会波及到生产网络和关键资产终极的受害对象可能会波及到生产网络和关键资产终极的受害对象可能会波及到生产网络和关键资产主机。主机。主机。主机。信息战信息战l在海湾战争和伊拉克战争中,美国大量采用了信息在海湾战争和伊拉克战争中,美国大量采用了信息战的手段战的手段, ,取得了绝对意义上
34、的取得了绝对意义上的“制信息权制信息权”,通过,通过计算机病毒武器攻击伊拉克的指挥控制网络系统,计算机病毒武器攻击伊拉克的指挥控制网络系统,使其完全失效,整个伊军就像一盘散沙,只能任人使其完全失效,整个伊军就像一盘散沙,只能任人宰割。宰割。 l在未来的局部战争中,信息战或信息威慑将成为非在未来的局部战争中,信息战或信息威慑将成为非常重要的非常规战手段常重要的非常规战手段l信息战的范围不仅仅局限于军事领域,关系国家国信息战的范围不仅仅局限于军事领域,关系国家国计民生的行业(如政府、金融等)也会成为信息战计民生的行业(如政府、金融等)也会成为信息战的攻击目标的攻击目标军事全接触军事全接触“兵不血刃
35、兵不血刃”信息战信息战.flv信息战信息战.flv视频:视频:信息时代威胁图信息时代威胁图类别类别攻击举例攻击举例V V敌国政府、间谍敌国政府、间谍IVIV商业间谍商业间谍IIIIII罪犯罪犯IIII恶意用户、内部人员、普通黑客恶意用户、内部人员、普通黑客I I用户误操作用户误操作网络攻击的动机网络攻击的动机l偷取国家机密偷取国家机密l商业竞争行为商业竞争行为l内部员工对单位的不满内部员工对单位的不满l对企业核心机密的企望对企业核心机密的企望l网络接入帐号、信用卡号等金钱利益的诱惑网络接入帐号、信用卡号等金钱利益的诱惑l利用攻击网络站点而出名利用攻击网络站点而出名l对网络安全技术的挑战对网络安
36、全技术的挑战l对网络的好奇心对网络的好奇心 攻击的一般过程攻击的一般过程预攻击预攻击内容:内容:获得域名及获得域名及IPIP分布分布获得拓扑及获得拓扑及OSOS等等获得端口和服务获得端口和服务获得应用系统情况获得应用系统情况跟踪新漏洞发布跟踪新漏洞发布目的:目的:收集信息,进行进收集信息,进行进一步攻击决策一步攻击决策攻击攻击内容:内容:获得远程权限获得远程权限进入远程系统进入远程系统提升本地权限提升本地权限进一步扩展权限进一步扩展权限进行实质性操作进行实质性操作目的:目的:进行攻击,获得系进行攻击,获得系统的一定权限统的一定权限后攻击后攻击内容:内容:植入后门木马植入后门木马删除日志删除日志
37、修补明显的漏洞修补明显的漏洞进一步渗透扩展进一步渗透扩展目的:目的:消除痕迹,长期维消除痕迹,长期维持一定的权限持一定的权限采用采用漏洞漏洞扫描扫描工具工具选择选择会用会用的的方式方式入侵入侵获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装系统系统后门后门获取敏感信息获取敏感信息或者或者其他攻击目的其他攻击目的攻击攻击入侵系统的常用步骤入侵系统的常用步骤端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击
38、其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途较高明的较高明的攻击攻击入侵步骤入侵步骤攻击的种类攻击的种类l预攻击阶段预攻击阶段端口扫描端口扫描端口扫描端口扫描漏洞扫描漏洞扫描漏洞扫描漏洞扫描操作系统类型鉴别操作系统类型鉴别操作系统类型鉴别操作系统类型鉴别网络拓扑分析网络拓扑分析网络拓扑分析网络拓扑分析l攻击阶段攻击阶段缓冲区溢出攻击缓冲区溢出攻击缓冲区溢出攻击缓冲区溢出攻击l操作系统漏洞操作系统漏洞l应用服务缺陷应用服务缺陷脚本程序漏洞攻击脚本程序漏洞攻击脚本程序漏洞攻击脚本程序漏洞攻击口令攻击口令攻击口令攻击口令攻击错误及弱配置攻击错误及弱配置攻击错误及弱配置攻击错误
39、及弱配置攻击网络欺骗与劫持攻击网络欺骗与劫持攻击网络欺骗与劫持攻击网络欺骗与劫持攻击 l后攻击阶段后攻击阶段后门木马后门木马后门木马后门木马痕迹擦除痕迹擦除痕迹擦除痕迹擦除l其它攻击种类其它攻击种类拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击嗅探攻击嗅探攻击嗅探攻击嗅探攻击恶意网页攻击恶意网页攻击恶意网页攻击恶意网页攻击社会工程攻击社会工程攻击社会工程攻击社会工程攻击19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程
40、控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2002高高攻击攻击技术的发展技术的发展信息收集信息收集非技术手段非技术手段l又称:又称:“网络踩点网络踩点”,就是通过各种途径对所要攻击就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确)。确保信息的准确)。l合法途径合法途径从目标机构的网站获取,对主页进行分析从目标机构的网站获取,对
41、主页进行分析从目标机构的网站获取,对主页进行分析从目标机构的网站获取,对主页进行分析新闻报道,出版物新闻报道,出版物新闻报道,出版物新闻报道,出版物新闻组或论坛新闻组或论坛新闻组或论坛新闻组或论坛在域名及其注册机构的查询在域名及其注册机构的查询在域名及其注册机构的查询在域名及其注册机构的查询l社会工程手段社会工程手段假冒他人,获取第三方的信任假冒他人,获取第三方的信任假冒他人,获取第三方的信任假冒他人,获取第三方的信任l搜索引擎搜索引擎社会工程学攻击社会工程学攻击 l社交工程是使用计谋和假情报去获得密码和其他敏感信息的科社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策
42、略其中之一就是尽可能多的了解这个组学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。渗透的组织那里获得信息。l举个例子:一组高中学生曾经想要进入一个当地的公司的计算举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简
43、单的调查是他们社会研究工这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。为网络上的大多数人是使用宠物和他们配偶名字作为密码。l凯文凯文 米特尼克是美国米特尼克是美国2020世纪最著名的黑客之一,世纪最著名的黑客之一,他是他是“社会工程学社会工程学”的的创始人创始人社会工程学攻击社会工程学攻击l假冒权威假冒权威黑客冒充公司的领导人员黑客冒充公司的领导人员黑客冒充公司的领导人员黑客冒充公司的领导人员在大公司中,不认识所有上司的情况非常
44、普通在大公司中,不认识所有上司的情况非常普通在大公司中,不认识所有上司的情况非常普通在大公司中,不认识所有上司的情况非常普通在在在在InternetInternetInternetInternet上,黑客可以通过邮件列表发出入侵的安全警上,黑客可以通过邮件列表发出入侵的安全警上,黑客可以通过邮件列表发出入侵的安全警上,黑客可以通过邮件列表发出入侵的安全警告,并提供解决问题的指令,指令被设计成能使黑客访问告,并提供解决问题的指令,指令被设计成能使黑客访问告,并提供解决问题的指令,指令被设计成能使黑客访问告,并提供解决问题的指令,指令被设计成能使黑客访问系统。足够显眼的标题和时髦的行话系统。足够显
45、眼的标题和时髦的行话系统。足够显眼的标题和时髦的行话系统。足够显眼的标题和时髦的行话l假扮假扮电话、电子邮件、聊天室和短消息里假扮你的熟人电话、电子邮件、聊天室和短消息里假扮你的熟人电话、电子邮件、聊天室和短消息里假扮你的熟人电话、电子邮件、聊天室和短消息里假扮你的熟人如果你是新来的职员,冒充你的同事如果你是新来的职员,冒充你的同事如果你是新来的职员,冒充你的同事如果你是新来的职员,冒充你的同事l同情同情如果一个人打电话来,讲述他的困难,你不帮助他吗?如果一个人打电话来,讲述他的困难,你不帮助他吗?如果一个人打电话来,讲述他的困难,你不帮助他吗?如果一个人打电话来,讲述他的困难,你不帮助他吗?
46、l个人利益个人利益假冒来自财务部门的员工,访问系统管理员假冒来自财务部门的员工,访问系统管理员假冒来自财务部门的员工,访问系统管理员假冒来自财务部门的员工,访问系统管理员社会工程学攻击社会工程学攻击l改善自我感觉改善自我感觉自我感觉良好的人易于被欺骗自我感觉良好的人易于被欺骗自我感觉良好的人易于被欺骗自我感觉良好的人易于被欺骗黑客进入热情的经理房间,表明自己是来自市场黑客进入热情的经理房间,表明自己是来自市场黑客进入热情的经理房间,表明自己是来自市场黑客进入热情的经理房间,表明自己是来自市场部的新员工,会得到详细的介绍部的新员工,会得到详细的介绍部的新员工,会得到详细的介绍部的新员工,会得到详
47、细的介绍l不引人注意的职业不引人注意的职业来自天然气、电力公司或者电话公司的员工来自天然气、电力公司或者电话公司的员工来自天然气、电力公司或者电话公司的员工来自天然气、电力公司或者电话公司的员工请求拨号等上机操作请求拨号等上机操作请求拨号等上机操作请求拨号等上机操作人们会单独把黑客放在房间里人们会单独把黑客放在房间里人们会单独把黑客放在房间里人们会单独把黑客放在房间里l奖赏奖赏提供某种形式的奖赏会引诱人泄露信息提供某种形式的奖赏会引诱人泄露信息提供某种形式的奖赏会引诱人泄露信息提供某种形式的奖赏会引诱人泄露信息口令比赛赢大奖、展示创造性,请列出密码口令比赛赢大奖、展示创造性,请列出密码口令比赛
48、赢大奖、展示创造性,请列出密码口令比赛赢大奖、展示创造性,请列出密码社会工程学攻击的常用伎俩社会工程学攻击的常用伎俩 l1. 1. 十度分隔法十度分隔法利用电话进行欺诈的一位社会工程学黑客的首要任务利用电话进行欺诈的一位社会工程学黑客的首要任务, ,就是要让就是要让他的攻击对象相信他的攻击对象相信, ,他要么是他要么是1)1)一位同事一位同事, ,要么是要么是2)2)一位可信赖的专家一位可信赖的专家( (比如执法人员或者审核人员比如执法人员或者审核人员).).但如果他的目标是要从员工但如果他的目标是要从员工X X处获取信息处获取信息的话的话, ,那么他的第一个电话或者第一封邮件并不会直接打给或
49、发给那么他的第一个电话或者第一封邮件并不会直接打给或发给X.X. 在社会心理学中在社会心理学中, ,六度分隔的古老游戏是由很多分隔层的六度分隔的古老游戏是由很多分隔层的. .纽约市纽约市警察局的一位老资格探员警察局的一位老资格探员Sal Sal LifrieriLifrieri, ,如今正定期举办一个叫做如今正定期举办一个叫做“防防范性运营范性运营”的企业培训课程的企业培训课程, ,教授如何识别黑客穿透某个组织的社会工教授如何识别黑客穿透某个组织的社会工程学攻击手段程学攻击手段. .他说他说, ,黑客在一个组织中开始接触的人可能会与他所瞄准黑客在一个组织中开始接触的人可能会与他所瞄准的目标或人
50、隔着十层之远的目标或人隔着十层之远. . “ “我讲课时不断地在告诫人们我讲课时不断地在告诫人们, ,多少得具备一些防人之心多少得具备一些防人之心, ,因为因为你不知道某人到底想从你这儿获得什么你不知道某人到底想从你这儿获得什么,”,”LifrieriLifrieri说说. .渗透进入组织的渗透进入组织的起点起点“可能是前台或门卫可能是前台或门卫. .所以企业必须培训员工彼此相识所以企业必须培训员工彼此相识. .而作为犯罪而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远远.”.” LifrieriLifri
51、eri说说, ,犯罪分子所用的方法很简单犯罪分子所用的方法很简单, ,就是奉承某个组织里就是奉承某个组织里更多可以接近的人更多可以接近的人, ,以便从职务更高的人那里获得他们所需的信息以便从职务更高的人那里获得他们所需的信息. . “ “他们常用的技巧就是伪装友好他们常用的技巧就是伪装友好,”,”LifrieriLifrieri说说.“.“其言辞有曰其言辞有曰:我很想跟您认识一下我很想跟您认识一下. .我很想知道在您的生活中哪些东西是最有用的我很想知道在您的生活中哪些东西是最有用的.然后他们很快就会从你那里获得很多你原本根本不会透露的信息然后他们很快就会从你那里获得很多你原本根本不会透露的信息
52、.”.”社会工程学攻击的常用伎俩社会工程学攻击的常用伎俩 l2. 2. 学会说行话学会说行话 每个行业都有自己的缩写术语每个行业都有自己的缩写术语. .而社会而社会工程学黑客就会研究你所在行业的术语工程学黑客就会研究你所在行业的术语, ,以便以便能够在与你接触时卖弄这些术语能够在与你接触时卖弄这些术语, ,以博得好感以博得好感. . “ “这其实就是一种环境提示这其实就是一种环境提示,”,”LifrieriLifrieri说说,“,“假如我跟你讲话假如我跟你讲话, ,用你熟悉用你熟悉的话语来讲的话语来讲, ,你当然就会信任我你当然就会信任我. .要是我还能用要是我还能用你经常在使用的缩写词汇和
53、术语的话你经常在使用的缩写词汇和术语的话, ,那你就那你就会更愿意向我透露更多的我想要的信息会更愿意向我透露更多的我想要的信息.” .” 社会工程学攻击的常用伎俩社会工程学攻击的常用伎俩 l3. 3. 借用目标企业的借用目标企业的“等待音乐等待音乐” LifrieriLifrieri说说, ,成功的骗子需要的是时间、坚持成功的骗子需要的是时间、坚持不懈和耐心不懈和耐心. .攻击常常是缓慢而讲究方法地进行的攻击常常是缓慢而讲究方法地进行的. .这这不仅需要收集目标对象的各种轶事不仅需要收集目标对象的各种轶事, ,还要收集其他的还要收集其他的“社交线索社交线索”以建立信任感以建立信任感, ,他甚至
54、可能会哄骗得你他甚至可能会哄骗得你以为他是你还未到这家企业之前的一位同事以为他是你还未到这家企业之前的一位同事. . 另外一种成功的技巧是记录某家公司所播放另外一种成功的技巧是记录某家公司所播放的的“等待音乐等待音乐”, ,也就是接电话的人尚未接通时播放也就是接电话的人尚未接通时播放的等待乐曲的等待乐曲. . “ “犯罪分子会有意拨通电话犯罪分子会有意拨通电话, ,录下你的等待音录下你的等待音乐乐, ,然后加以利用然后加以利用. .比如当他打给某个目标对象时比如当他打给某个目标对象时, ,他他会跟你谈上一分钟然后说会跟你谈上一分钟然后说:抱歉抱歉, ,我的另一部电话响我的另一部电话响了了, ,
55、请别挂断请别挂断,这时这时, ,受害人就会听到很熟悉的公司定受害人就会听到很熟悉的公司定制的等待音乐制的等待音乐, ,然后会想然后会想:哦哦. .此人肯定就在本公司工此人肯定就在本公司工作作. .这是我们的音乐这是我们的音乐.这不过是又一种心理暗示而已这不过是又一种心理暗示而已.” .” 社会工程学攻击的常用伎俩社会工程学攻击的常用伎俩 l4. 4. 电话号码欺诈电话号码欺诈但最分子常常会利用电话号码欺诈术但最分子常常会利用电话号码欺诈术, ,也就是在目也就是在目标被叫者的来电显示屏上显示一个和主叫号码不标被叫者的来电显示屏上显示一个和主叫号码不一样的号码一样的号码. .“犯罪分子可能是从某个
56、公寓给你打的电话犯罪分子可能是从某个公寓给你打的电话, ,但是但是显示在你的电话上的来电号码却可能会让你觉得显示在你的电话上的来电号码却可能会让你觉得好像是来自同一家公司的号码好像是来自同一家公司的号码,”,”LifrieriLifrieri说说. .于是于是, ,你就有可能轻而易举地上当你就有可能轻而易举地上当, ,把一些私人信把一些私人信息息, ,比如口令等告诉对方比如口令等告诉对方. .而且而且, ,犯罪分子还不容易犯罪分子还不容易被发现被发现, ,因为如果你回拨过去因为如果你回拨过去, ,可能拨的是企业自可能拨的是企业自己的一个号码己的一个号码. .社会工程学攻击的常用伎俩社会工程学攻
57、击的常用伎俩 l5. 5. 利用坏消息作案利用坏消息作案“只要报纸上已刊登什么坏消息只要报纸上已刊登什么坏消息, ,坏分子们就会利坏分子们就会利用其来发送社会工程学式的垃圾邮件、网络钓鱼用其来发送社会工程学式的垃圾邮件、网络钓鱼或其它类型的邮件或其它类型的邮件,”McAfee Avert,”McAfee Avert实验室的安全实验室的安全研究主任研究主任Dave MarcusDave Marcus说说. .MarcusMarcus说说, ,他们的实验室在这次的美国总统大选和他们的实验室在这次的美国总统大选和经济危机中看到了此类活动的增多趋势经济危机中看到了此类活动的增多趋势. .“有大量的网络
58、钓鱼攻击是和银行间的并购有关有大量的网络钓鱼攻击是和银行间的并购有关的的,”Marcus,”Marcus说说.“.“钓鱼邮件会告诉你说钓鱼邮件会告诉你说,你的存你的存款银行已被他们的银行并购了款银行已被他们的银行并购了. .请你点击此处以确请你点击此处以确保能够在该银行关张之前修改你的信息保能够在该银行关张之前修改你的信息.这是诱这是诱骗你泄露自己的信息骗你泄露自己的信息, ,他们便能够进入你的账户窃他们便能够进入你的账户窃取钱财取钱财, ,或者倒卖储户的信息或者倒卖储户的信息.”.”社会工程学攻击的常用伎俩社会工程学攻击的常用伎俩 l6. 6. 滥用网民对社交网站的信任滥用网民对社交网站的信
59、任FacebookFacebook、MySpaceMySpace和和LinkedInLinkedIn都是非常受欢迎的都是非常受欢迎的社交网站社交网站. .很多人对这些网站十分信任很多人对这些网站十分信任. .而最近的而最近的一次钓鱼欺诈事件就瞄上了一次钓鱼欺诈事件就瞄上了 LinkedInLinkedIn的用户的用户, ,这这次攻击让很多人感到震惊次攻击让很多人感到震惊.Marcus.Marcus说说, ,已经有越来已经有越来越多的社交网站迷们收到了自称是越多的社交网站迷们收到了自称是FacebookFacebook网站网站的假冒邮件的假冒邮件, ,结果上了当结果上了当. .“用户们会收到一封
60、邮件称用户们会收到一封邮件称:本站正在进行维护本站正在进行维护, ,请在此输入信息以便升级之用请在此输入信息以便升级之用.只要你点进去只要你点进去, ,就就会被链接到钓鱼网站上去会被链接到钓鱼网站上去.”Marcus.”Marcus因此建议人恩因此建议人恩最好手工输入网址以避免被恶意链接最好手工输入网址以避免被恶意链接. .并应该记住并应该记住, ,很少有某个网站会寄发要求输入更改口令或进行很少有某个网站会寄发要求输入更改口令或进行账户升级的邮件账户升级的邮件. .社会工程学攻击的常用伎俩社会工程学攻击的常用伎俩 l7. 7. 输入错误捕获法输入错误捕获法犯罪分子还常常会利用人们在输入网址时的
61、错误犯罪分子还常常会利用人们在输入网址时的错误来作案来作案,Marcus,Marcus说说. .比如当你输入一个网址时比如当你输入一个网址时, ,常常常常会敲错一两个字母会敲错一两个字母, ,结果转眼间你就会被链接到其结果转眼间你就会被链接到其他网站上去他网站上去, ,产生了意想不到的结果产生了意想不到的结果. .“坏分子们早就研究透了各种常见的拼写错误坏分子们早就研究透了各种常见的拼写错误, ,而而他们的网站地址就常常使用这些可能拼错的字母他们的网站地址就常常使用这些可能拼错的字母来做域名来做域名.”.”避免受到社交工程攻击避免受到社交工程攻击l极度警惕极度警惕Do not trust an
62、y strangerDo not trust any strangerDo not trust any strangerDo not trust any stranger即使是很友好的人即使是很友好的人即使是很友好的人即使是很友好的人l怀疑一切怀疑一切声称并不代表他有权这样做声称并不代表他有权这样做声称并不代表他有权这样做声称并不代表他有权这样做询问他们的权限询问他们的权限询问他们的权限询问他们的权限绝大多数社交工程在高度警惕下破产绝大多数社交工程在高度警惕下破产绝大多数社交工程在高度警惕下破产绝大多数社交工程在高度警惕下破产l验证出处验证出处当某人电子邮件要求时,要求来电话确证当某人电子邮件
63、要求时,要求来电话确证当某人电子邮件要求时,要求来电话确证当某人电子邮件要求时,要求来电话确证对于电话里的请求,要求回电号码并确证对于电话里的请求,要求回电号码并确证对于电话里的请求,要求回电号码并确证对于电话里的请求,要求回电号码并确证员工号码或者身份证员工号码或者身份证员工号码或者身份证员工号码或者身份证避免受到社交工程攻击(续避免受到社交工程攻击(续)l说说不不对于逾越日常行为准则的要求,要拒绝对于逾越日常行为准则的要求,要拒绝对于逾越日常行为准则的要求,要拒绝对于逾越日常行为准则的要求,要拒绝要求按照正常程序和规定要求按照正常程序和规定要求按照正常程序和规定要求按照正常程序和规定书面报
64、告和授权信息书面报告和授权信息书面报告和授权信息书面报告和授权信息l用户培训用户培训培训员工,提高安全意识培训员工,提高安全意识培训员工,提高安全意识培训员工,提高安全意识信息收集信息收集技术手段技术手段lPingPing命令命令lTracertTracert / / TracerouteTraceroute命令命令lRusersRusers / Finger / Finger命令命令lHost / Host / nslookupnslookup命令命令信息收集信息收集技术手段技术手段lPingPing这是这是这是这是TCP/IPTCP/IPTCP/IPTCP/IP协议中最有用的命令之一协议中
65、最有用的命令之一协议中最有用的命令之一协议中最有用的命令之一, , , ,在安装了在安装了在安装了在安装了TCP/IPTCP/IPTCP/IPTCP/IP协议以后才可以使用协议以后才可以使用协议以后才可以使用协议以后才可以使用 它给另一个系统发送一系列的数据包,该系统本它给另一个系统发送一系列的数据包,该系统本它给另一个系统发送一系列的数据包,该系统本它给另一个系统发送一系列的数据包,该系统本身又发回一个响应,这条实用程序对查找远程主身又发回一个响应,这条实用程序对查找远程主身又发回一个响应,这条实用程序对查找远程主身又发回一个响应,这条实用程序对查找远程主机很有用,它返回的结果表示机很有用,
66、它返回的结果表示机很有用,它返回的结果表示机很有用,它返回的结果表示判断计算机是否开判断计算机是否开判断计算机是否开判断计算机是否开着,或者数据包发送到返回需要多少时间着,或者数据包发送到返回需要多少时间着,或者数据包发送到返回需要多少时间着,或者数据包发送到返回需要多少时间 。PingPingPingPing就是一个测试程序,如果就是一个测试程序,如果就是一个测试程序,如果就是一个测试程序,如果PingPingPingPing运行正确,你运行正确,你运行正确,你运行正确,你大体上就可以排除网络访问层、网卡、大体上就可以排除网络访问层、网卡、大体上就可以排除网络访问层、网卡、大体上就可以排除网
67、络访问层、网卡、MODEMMODEMMODEMMODEM的的的的输入输出线路、电缆和路由器等存在的故障,从输入输出线路、电缆和路由器等存在的故障,从输入输出线路、电缆和路由器等存在的故障,从输入输出线路、电缆和路由器等存在的故障,从而减小了问题的范围。但由于可以自定义所发数而减小了问题的范围。但由于可以自定义所发数而减小了问题的范围。但由于可以自定义所发数而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送,据报的大小及无休止的高速发送,据报的大小及无休止的高速发送,据报的大小及无休止的高速发送,PingPingPingPing也被某些也被某些也被某些也被某些别有用心的人作为
68、别有用心的人作为别有用心的人作为别有用心的人作为DDOSDDOSDDOSDDOS(拒绝服务攻击)的工具,(拒绝服务攻击)的工具,(拒绝服务攻击)的工具,(拒绝服务攻击)的工具,YahooYahooYahooYahoo就曾被黑客用数百台可以高速接入互联网就曾被黑客用数百台可以高速接入互联网就曾被黑客用数百台可以高速接入互联网就曾被黑客用数百台可以高速接入互联网的电脑连续发送大量的电脑连续发送大量的电脑连续发送大量的电脑连续发送大量PingPingPingPing数据报而瘫痪的。数据报而瘫痪的。数据报而瘫痪的。数据报而瘫痪的。 信息收集信息收集技术手段技术手段lPingPingPing Ping
69、Ping Ping 参数参数参数参数 IPIPIPIP地址地址地址地址 PingPingPingPing命令的常用参数选项命令的常用参数选项命令的常用参数选项命令的常用参数选项 ping IP -t-ping IP -t-ping IP -t-ping IP -t-连续对连续对连续对连续对IPIPIPIP地址执行地址执行地址执行地址执行PingPingPingPing命令,命令,命令,命令,直到被用户以直到被用户以直到被用户以直到被用户以Ctrl+CCtrl+CCtrl+CCtrl+C中断。中断。中断。中断。 ping IP -l 2000-ping IP -l 2000-ping IP -l
70、 2000-ping IP -l 2000-指定指定指定指定PingPingPingPing命令中的数命令中的数命令中的数命令中的数据长度为据长度为据长度为据长度为2000200020002000字节,而不是缺省的字节,而不是缺省的字节,而不是缺省的字节,而不是缺省的32323232字节。字节。字节。字节。 ping IP -n-ping IP -n-ping IP -n-ping IP -n-执行特定次数的执行特定次数的执行特定次数的执行特定次数的PingPingPingPing命令。命令。命令。命令。 信息收集信息收集技术手段技术手段lPingPing如果如果pingping某一网络地址某
71、一网络地址,出现:,出现:Reply from Reply from 61.172.201.228: bytes=32 time=9ms TTL=5361.172.201.228: bytes=32 time=9ms TTL=53则表示本地与该网络地址则表示本地与该网络地址之间的线路是畅通的;如果出现之间的线路是畅通的;如果出现Request timed outRequest timed out,则表示此时发送,则表示此时发送的小数据包不能到达目的地,此时可能有两种情况,一种是网络不通,的小数据包不能到达目的地,此时可能有两种情况,一种是网络不通,还有一种是网络连通状况不佳。此时还可以使用带参
72、数的还有一种是网络连通状况不佳。此时还可以使用带参数的PingPing来确定是来确定是哪一种情况。哪一种情况。 例:例:ping ping -t -l 1500 -t -l 1500 不断地向目的主不断地向目的主机发送数据,并且包大小设置为机发送数据,并且包大小设置为15001500字节,。此时如果都是显示字节,。此时如果都是显示Reply Reply timed outtimed out,则表示网络之间确实不通,如果不是全部显示,则表示网络之间确实不通,如果不是全部显示Reply Reply times outtimes out则表示此网站还是通的,只是响应时间长或通讯状况不佳。则表示此网
73、站还是通的,只是响应时间长或通讯状况不佳。 视频:视频:ping命令的使用命令的使用.wmv信息收集信息收集技术手段技术手段lTracert/TraceroutTracert/Tracerout命令命令: :跟踪从一台计算机到另外一台计算机所走的路径跟踪从一台计算机到另外一台计算机所走的路径 如果在使用如果在使用ping ping 命令发现网络不通,可以用命令发现网络不通,可以用tracerttracert 跟踪一下包到达哪一级故障。例如:跟踪一下包到达哪一级故障。例如: tracerttracert Tracing route to 211.100.31.131 -Tracing rou
74、te to 211.100.31.131 -解解析出首都在线站点析出首都在线站点()()的主机的主机IPIP地址;地址;over a maximum of 30 hops:over a maximum of 30 hops:1 1 ms 2 ms 2 ms 202.201.3.11 1 ms 2 ms 2 ms 202.201.3.12 2 ms 2 ms 2 ms 210.202.88.1262 2 ms 2 ms 2 ms 210.202.88.1263 3 ms 4 ms 4 ms 210.112.46.133 3 ms 4 ms 4 ms 210.112.46.134 5 ms 5
75、ms 6 ms 210.112.46.1494 5 ms 5 ms 6 ms 210.112.46.1495 * * * Request timed out. -5 * * * Request timed out. -说明从说明从202.112.46.149202.112.46.149到到上一级路由器之间发生了故障,导致连接不了首都在线站上一级路由器之间发生了故障,导致连接不了首都在线站点点 信息收集信息收集技术手段技术手段lFingerFinger和和RusersRusers命令命令: :这两个都是这两个都是UNIXUNIX命令。通过这两个命令,能收集命令。通过这两个命令,能收集到目标计算机
76、上的有关用户的消息。到目标计算机上的有关用户的消息。 使用使用使用使用rusersrusersrusersrusers命令,产生的结果如下所示:命令,产生的结果如下所示:命令,产生的结果如下所示:命令,产生的结果如下所示:最左边的是通过远程登录的用户名。还包括上次最左边的是通过远程登录的用户名。还包括上次最左边的是通过远程登录的用户名。还包括上次最左边的是通过远程登录的用户名。还包括上次登录时间,使用的登录时间,使用的登录时间,使用的登录时间,使用的SHELLSHELLSHELLSHELL类型等等信息。类型等等信息。类型等等信息。类型等等信息。 :ttyp1Nov1315:427:30(rem
77、ote):ttyp2Nov1314:577:21(remote):ttyp3Nov1501:0401(remote):ttyp4Nov1423:09(remote):ttyp6Nov1415:05(remote):ttyp5Nov1316:037:52(remote):ttyp7Nov1420:202:59(remote):ttyp15Nov320:094:55(remote):ttyp1Nov1406:1219:12(remote):ttyp19Nov1406:1219:02(remote)信息收集信息收集技术手段技术手段lHost / Host / nslookupnslookup命令命令
78、: :HostHostHostHost或者或者或者或者NslookupNslookupNslookupNslookup命令,结合命令,结合命令,结合命令,结合WhoisWhoisWhoisWhois和和和和FingerFingerFingerFinger命命命命令获取主机、操作系统和用户等信息令获取主机、操作系统和用户等信息令获取主机、操作系统和用户等信息令获取主机、操作系统和用户等信息 WhoisWhoisWhoisWhois:LinuxLinuxLinuxLinux命令,用于查找并显示用户信息。命令,用于查找并显示用户信息。命令,用于查找并显示用户信息。命令,用于查找并显示用户信息。端口扫
79、描端口扫描l目的目的判断目标主机开启了哪些端口及其对应的服务,判断目标主机开启了哪些端口及其对应的服务,判断目标主机开启了哪些端口及其对应的服务,判断目标主机开启了哪些端口及其对应的服务,利用来作为入侵通道。利用来作为入侵通道。利用来作为入侵通道。利用来作为入侵通道。l常规扫描技术常规扫描技术调用调用调用调用connectconnectconnectconnect函数直接连接被扫描端口函数直接连接被扫描端口函数直接连接被扫描端口函数直接连接被扫描端口无须任何特殊权限无须任何特殊权限无须任何特殊权限无须任何特殊权限速度较慢,易被记录速度较慢,易被记录速度较慢,易被记录速度较慢,易被记录l高级扫描
80、技术高级扫描技术利用探测数据包的返回信息(例如利用探测数据包的返回信息(例如利用探测数据包的返回信息(例如利用探测数据包的返回信息(例如RSTRSTRSTRST)来进行间来进行间来进行间来进行间接扫描接扫描接扫描接扫描较为隐蔽,不易被日志记录或防火墙发现较为隐蔽,不易被日志记录或防火墙发现较为隐蔽,不易被日志记录或防火墙发现较为隐蔽,不易被日志记录或防火墙发现TCP SYN扫描扫描l也叫半开式扫描,扫描程序不必要打开一个也叫半开式扫描,扫描程序不必要打开一个完全的完全的TCPTCP连接。优点在于一般不会在目标计连接。优点在于一般不会在目标计算机上留下记录。缺点是,必须要有算机上留下记录。缺点是
81、,必须要有rootroot权权限才能建立自己的限才能建立自己的SYNSYN数据包。数据包。 l利用利用TCPTCP连接三次握手的第一次进行扫描连接三次握手的第一次进行扫描被被被被扫扫扫扫描描描描主主主主机机机机开放的端口开放的端口不提供服务的端口不提供服务的端口防火墙过滤的端口防火墙过滤的端口 扫扫描描器器SYNSYNSYNSYN+ACK握手握手RST 重置重置没有回应或者其他没有回应或者其他端口扫描工具端口扫描工具lNmapNmap简介简介简介简介l被称为被称为“扫描器之王扫描器之王”l有有for Unixfor Unix和和for Winfor Win的两种版本的两种版本l需要需要Libp
82、capLibpcap库和库和WinpcapWinpcap库的支持库的支持l能够进行普通扫描、各种高级扫描和操作系统类型鉴能够进行普通扫描、各种高级扫描和操作系统类型鉴别等别等使用使用使用使用l- -sSsS:半开式扫描半开式扫描 - -sTsT: :普通普通connect()connect()扫描扫描 l- -sUsU:udpudp端口扫描端口扫描l-O-O:操作系统鉴别操作系统鉴别l- -P0P0:强行扫描(无论是否能够强行扫描(无论是否能够pingping通目标)通目标)l-p-p:指定端口范围指定端口范围l- -v v:详细模式详细模式详见:详见:详见:详见:NmapNmap中文官方文档
83、中文官方文档中文官方文档中文官方文档.pdf.pdfNmapWin v1.3.0端口扫描工具端口扫描工具lSuperScanSuperScan简介简介简介简介l基于基于WindowsWindows平台平台l速度快,图形化界面速度快,图形化界面l最新版本为最新版本为4.04.0SuperScanSuperScanSuperScanSuperScan是由是由是由是由FoundstoneFoundstoneFoundstoneFoundstone开发的一款免费的,但功开发的一款免费的,但功开发的一款免费的,但功开发的一款免费的,但功能十分强大的工具,与许能十分强大的工具,与许能十分强大的工具,与许能
84、十分强大的工具,与许多同类工具比较,它既是多同类工具比较,它既是多同类工具比较,它既是多同类工具比较,它既是一款黑客工具,又是一款一款黑客工具,又是一款一款黑客工具,又是一款一款黑客工具,又是一款网络安全工具。一名黑客网络安全工具。一名黑客网络安全工具。一名黑客网络安全工具。一名黑客可以利用它的拒绝服务攻可以利用它的拒绝服务攻可以利用它的拒绝服务攻可以利用它的拒绝服务攻击(击(击(击(DoSDoSDoSDoS,denial of denial of denial of denial of serviceserviceserviceservice)来收集远程网络)来收集远程网络)来收集远程网络)
85、来收集远程网络主机信息。而做为安全工主机信息。而做为安全工主机信息。而做为安全工主机信息。而做为安全工具,具,具,具,SuperScanSuperScanSuperScanSuperScan能够帮助发能够帮助发能够帮助发能够帮助发现网络中的弱点。现网络中的弱点。现网络中的弱点。现网络中的弱点。利用利用SuperScan检测网络安全检测网络安全 l打开主界面,默认为打开主界面,默认为扫描(扫描(ScanScan)菜单,)菜单,允许你输入一个或多允许你输入一个或多个主机名或个主机名或IPIP范围。范围。你也可以选文件下的你也可以选文件下的输入地址列表。输入输入地址列表。输入主机名或主机名或IPIP
86、范围后开范围后开始扫描,点始扫描,点PlaybuttonPlaybutton,SuperScanSuperScan开始扫描开始扫描地址,如下图地址,如下图A A。 图图A:SuperScan允许你输入要扫描的允许你输入要扫描的IP范围。范围。利用利用SuperScan检测网络安全检测网络安全 l扫描进程结束后,扫描进程结束后,SuperScanSuperScan将提供一将提供一个主机列表,关于每个主机列表,关于每台扫描过的主机被发台扫描过的主机被发现的开放端口信息。现的开放端口信息。SuperScanSuperScan还有选择还有选择以以HTMLHTML格式显示信息格式显示信息的功能。如图的功
87、能。如图B B。 图图B:SuperScan显示扫描了哪些主机和在显示扫描了哪些主机和在每台主机上哪些端口是开放的。每台主机上哪些端口是开放的。利用利用SuperScan检测网络安全检测网络安全 l关于主机和服务器扫关于主机和服务器扫描设置描设置(HostandServiHostandServiceDiscoveryceDiscovery)很多时候需要定制扫很多时候需要定制扫很多时候需要定制扫很多时候需要定制扫描。如图描。如图描。如图描。如图C C C C上看到的上看到的上看到的上看到的HostandServiceHostandServiceHostandServiceHostandServi
88、ceDiscoveryDiscoveryDiscoveryDiscovery选项。选项。选项。选项。这个选项让你在扫描这个选项让你在扫描这个选项让你在扫描这个选项让你在扫描的时候看到的更多信的时候看到的更多信的时候看到的更多信的时候看到的更多信息。息。息。息。 图图C:Host and Service Discovery 决定具决定具体哪些端口被扫描。体哪些端口被扫描。利用利用SuperScan检测网络安全检测网络安全 l关于主机和服务器扫描设置关于主机和服务器扫描设置(HostandServiceDiscoveryHostandServiceDiscovery)在菜单顶部是在菜单顶部是在菜单
89、顶部是在菜单顶部是HostDiscoveryHostDiscoveryHostDiscoveryHostDiscovery项。默认的,发现主机的方项。默认的,发现主机的方项。默认的,发现主机的方项。默认的,发现主机的方法是通过重复请求(法是通过重复请求(法是通过重复请求(法是通过重复请求(echorequestsechorequestsechorequestsechorequests)。通过选择和取消)。通过选择和取消)。通过选择和取消)。通过选择和取消各种可选的扫描方式选项,你也能够通过利用时间戳请求各种可选的扫描方式选项,你也能够通过利用时间戳请求各种可选的扫描方式选项,你也能够通过利用时
90、间戳请求各种可选的扫描方式选项,你也能够通过利用时间戳请求(timestamptimestamptimestamptimestamp),地址屏蔽请求),地址屏蔽请求),地址屏蔽请求),地址屏蔽请求(addressmaskrequestsaddressmaskrequestsaddressmaskrequestsaddressmaskrequests)和消息请求)和消息请求)和消息请求)和消息请求(informationrequestsinformationrequestsinformationrequestsinformationrequests)来发现主机。选择的选项越多,)来发现主机。选择
91、的选项越多,)来发现主机。选择的选项越多,)来发现主机。选择的选项越多,那么扫描用的时间就越长。如果你正在试图尽量多的收集那么扫描用的时间就越长。如果你正在试图尽量多的收集那么扫描用的时间就越长。如果你正在试图尽量多的收集那么扫描用的时间就越长。如果你正在试图尽量多的收集一个明确的主机的信息,建议你首先执行一次常规的扫描一个明确的主机的信息,建议你首先执行一次常规的扫描一个明确的主机的信息,建议你首先执行一次常规的扫描一个明确的主机的信息,建议你首先执行一次常规的扫描以发现主机,然后再利用可选的请求选项来扫描。以发现主机,然后再利用可选的请求选项来扫描。以发现主机,然后再利用可选的请求选项来扫
92、描。以发现主机,然后再利用可选的请求选项来扫描。在菜单的底部,包括在菜单的底部,包括在菜单的底部,包括在菜单的底部,包括UDPUDPUDPUDP端口扫描和端口扫描和端口扫描和端口扫描和TCPTCPTCPTCP端口扫描项。通过端口扫描项。通过端口扫描项。通过端口扫描项。通过屏幕的截图,注意到屏幕的截图,注意到屏幕的截图,注意到屏幕的截图,注意到SuperScanSuperScanSuperScanSuperScan最初开始扫描的仅仅是那几最初开始扫描的仅仅是那几最初开始扫描的仅仅是那几最初开始扫描的仅仅是那几个最普通的常用端口。原因是有超过个最普通的常用端口。原因是有超过个最普通的常用端口。原因
93、是有超过个最普通的常用端口。原因是有超过65000650006500065000个的个的个的个的TCPTCPTCPTCP和和和和UDPUDPUDPUDP端端端端口。若对每个可能开放端口的口。若对每个可能开放端口的口。若对每个可能开放端口的口。若对每个可能开放端口的IPIPIPIP地址,进行超过地址,进行超过地址,进行超过地址,进行超过130000130000130000130000次次次次的端口扫描,那将需要多长的时间。因此的端口扫描,那将需要多长的时间。因此的端口扫描,那将需要多长的时间。因此的端口扫描,那将需要多长的时间。因此SuperScanSuperScanSuperScanSuper
94、Scan最初开最初开最初开最初开始扫描的仅仅是那几个最普通的常用端口,但给你扫描额始扫描的仅仅是那几个最普通的常用端口,但给你扫描额始扫描的仅仅是那几个最普通的常用端口,但给你扫描额始扫描的仅仅是那几个最普通的常用端口,但给你扫描额外端口的选项。外端口的选项。外端口的选项。外端口的选项。利用利用SuperScan检测网络安全检测网络安全 l关于扫描选项关于扫描选项(ScanOptionsScanOptions)ScanOptionsScanOptions项项如图如图如图如图D D D D所示,允许进所示,允许进所示,允许进所示,允许进一步的控制扫描进程。一步的控制扫描进程。一步的控制扫描进程。
95、一步的控制扫描进程。菜单中的首选项是定菜单中的首选项是定菜单中的首选项是定菜单中的首选项是定制扫描过程中主机和制扫描过程中主机和制扫描过程中主机和制扫描过程中主机和通过审查的服务数。通过审查的服务数。通过审查的服务数。通过审查的服务数。1 1 1 1是默认值,一般来是默认值,一般来是默认值,一般来是默认值,一般来说足够了,除非你的说足够了,除非你的说足够了,除非你的说足够了,除非你的连接不太可靠。连接不太可靠。连接不太可靠。连接不太可靠。 图图D:在:在Scan Options项中,能够控制扫描项中,能够控制扫描速度和通过扫描的数量。速度和通过扫描的数量。利用利用SuperScan检测网络安全
96、检测网络安全 l关于扫描选项(关于扫描选项(ScanOptionsScanOptions)ScanOptionsScanOptions项项ScanOptionsScanOptionsScanOptionsScanOptions中的接下来的选项,能够设置主机名解析的中的接下来的选项,能够设置主机名解析的中的接下来的选项,能够设置主机名解析的中的接下来的选项,能够设置主机名解析的数量。同样,数量数量。同样,数量数量。同样,数量数量。同样,数量1 1 1 1足够了,除非你的连接不可靠。足够了,除非你的连接不可靠。足够了,除非你的连接不可靠。足够了,除非你的连接不可靠。另一个选项是获取标志(另一个选项
97、是获取标志(另一个选项是获取标志(另一个选项是获取标志(BannerGrabbingBannerGrabbingBannerGrabbingBannerGrabbing)的设置,)的设置,)的设置,)的设置,BannerGrabbingBannerGrabbingBannerGrabbingBannerGrabbing是根据显示一些信息尝试得到远程主机是根据显示一些信息尝试得到远程主机是根据显示一些信息尝试得到远程主机是根据显示一些信息尝试得到远程主机的回应。默认的延迟是的回应。默认的延迟是的回应。默认的延迟是的回应。默认的延迟是8000800080008000毫秒,如果你所连接的主机较毫秒,
98、如果你所连接的主机较毫秒,如果你所连接的主机较毫秒,如果你所连接的主机较慢,这个时间就显的不够长。慢,这个时间就显的不够长。慢,这个时间就显的不够长。慢,这个时间就显的不够长。旁边的滚动条是扫描速度调节选项,能够利用它来调节旁边的滚动条是扫描速度调节选项,能够利用它来调节旁边的滚动条是扫描速度调节选项,能够利用它来调节旁边的滚动条是扫描速度调节选项,能够利用它来调节SuperScanSuperScanSuperScanSuperScan在发送每个包所要等待的时间。最快的可能扫描,在发送每个包所要等待的时间。最快的可能扫描,在发送每个包所要等待的时间。最快的可能扫描,在发送每个包所要等待的时间。
99、最快的可能扫描,当然是调节滚动条为当然是调节滚动条为当然是调节滚动条为当然是调节滚动条为0 0 0 0。可是,扫描速度设置为。可是,扫描速度设置为。可是,扫描速度设置为。可是,扫描速度设置为0 0 0 0,有包溢,有包溢,有包溢,有包溢出的潜在可能。如果你担心由于出的潜在可能。如果你担心由于出的潜在可能。如果你担心由于出的潜在可能。如果你担心由于SuperScanSuperScanSuperScanSuperScan引起的过量包溢引起的过量包溢引起的过量包溢引起的过量包溢出,你最好调慢出,你最好调慢出,你最好调慢出,你最好调慢SuperScanSuperScanSuperScanSuperSc
100、an的速度。的速度。的速度。的速度。利用利用SuperScan检测网络安全检测网络安全 l关于工具(关于工具(ToolsTools)选项选项SuperScanSuperScanSuperScanSuperScan的工具选的工具选的工具选的工具选项(项(项(项(ToolsToolsToolsTools)允许你)允许你)允许你)允许你很快的得到许多关于很快的得到许多关于很快的得到许多关于很快的得到许多关于一个明确的主机信息。一个明确的主机信息。一个明确的主机信息。一个明确的主机信息。正确输入主机名或者正确输入主机名或者正确输入主机名或者正确输入主机名或者IPIPIPIP地址和默认的连接地址和默认的
101、连接地址和默认的连接地址和默认的连接服务器,然后点击你服务器,然后点击你服务器,然后点击你服务器,然后点击你要得到相关信息的按要得到相关信息的按要得到相关信息的按要得到相关信息的按纽。如,你能纽。如,你能纽。如,你能纽。如,你能pingpingpingping一一一一台服务器,或台服务器,或台服务器,或台服务器,或traceroutetraceroutetraceroutetraceroute,和发送,和发送,和发送,和发送一个一个一个一个HTTPHTTPHTTPHTTP请求。图请求。图请求。图请求。图E E E E显示了得到的各种信显示了得到的各种信显示了得到的各种信显示了得到的各种信息。息
102、。息。息。图图E:能够通过点选不同的按纽,收集各:能够通过点选不同的按纽,收集各种主机信息。种主机信息。利用利用SuperScan检测网络安全检测网络安全 l关于关于WindowsWindows枚举选枚举选项项(WindowsEnumeraWindowsEnumerationtion)l如果你设法收集的信息如果你设法收集的信息是关于是关于Linux/UNIXLinux/UNIX主机主机的,那这个选项是没什的,那这个选项是没什么用的。但若你需要么用的。但若你需要WindowsWindows主机的信息,它主机的信息,它确实是很方便的。如图确实是很方便的。如图F F所示,能够提供从单个所示,能够提供
103、从单个主机到用户群组,再到主机到用户群组,再到协议策略的所有信息。协议策略的所有信息。这个选项给人的最深刻这个选项给人的最深刻的印象是它产生大量的的印象是它产生大量的透明信息。透明信息。 图图F:Windows枚举选项能够产生关于枚举选项能够产生关于Windows主机的大量信息。主机的大量信息。视频:视频:superscan3扫描器的使用扫描器的使用.wmv漏洞扫描漏洞扫描l根据目标主机开放的不同应用和服务来扫描根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞和判断是否存在或可能存在某些漏洞l积极意义积极意义进行网络安全评估进行网络安全评估进行网络安全评估进行网络安全评估
104、为网络系统的加固提供先期准备为网络系统的加固提供先期准备为网络系统的加固提供先期准备为网络系统的加固提供先期准备l消极意义消极意义被网络攻击者加以利用来攻陷目标系统或获取重被网络攻击者加以利用来攻陷目标系统或获取重被网络攻击者加以利用来攻陷目标系统或获取重被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息要的数据信息要的数据信息要的数据信息漏洞扫描的种类漏洞扫描的种类l系统漏洞扫描系统漏洞扫描l特定服务的漏洞扫描特定服务的漏洞扫描WEBWEBWEBWEB服务服务服务服务数据库服务数据库服务数据库服务数据库服务FTPFTPFTPFTP服务服务服务服务MailMailMailMail服务服务服
105、务服务l信息泄漏漏洞扫描信息泄漏漏洞扫描用户信息用户信息用户信息用户信息共享信息共享信息共享信息共享信息l人为管理漏洞扫描人为管理漏洞扫描弱口令弱口令弱口令弱口令错误配置错误配置错误配置错误配置l网络及管理设备漏洞网络及管理设备漏洞扫描扫描路由器、交换机路由器、交换机路由器、交换机路由器、交换机SNMPSNMPSNMPSNMP设备设备设备设备视频:视频:Ipc漏洞简单攻击漏洞简单攻击.wmv上机操作命令上机操作命令l1.ping1.ping命令命令ping /? ping /? ping /? ping /? ,显示此命令的帮助信息,显示此命令的帮助信息,显示此命令的帮助信息,显示此命令的帮助
106、信息根据帮助信息,尝试其用法根据帮助信息,尝试其用法根据帮助信息,尝试其用法根据帮助信息,尝试其用法两个同学一起用命令两个同学一起用命令两个同学一起用命令两个同学一起用命令PingPingPingPing同一台计算机,如:同一台计算机,如:同一台计算机,如:同一台计算机,如:ping ping ping ping 192.168.0.1 -l 6550 -t 192.168.0.1 -l 6550 -t 192.168.0.1 -l 6550 -t 192.168.0.1 -l 6550 -t ,不停的向该计算机,不停的向该计算机,不停的向该计算机,不停的向该计算机发送数据包,查看效果发送数据
107、包,查看效果发送数据包,查看效果发送数据包,查看效果l2.Tracert2.Tracert命令命令stat命令命令 netstatnetstat-a-a显示出你的计算机当前所开放的所有端口显示出你的计算机当前所开放的所有端口 netstatnetstat-s-e-s-e比较详细的显示你的网络资料,包括比较详细的显示你的网络资料,包括tcptcp、udpudp、icmpicmp和和ipip的统计等的统计等 上机操作命令上机操作命令lnetnet命令命令 netview ;netview ;netview ;netview ;显示当前工作组服务器列表显示当前工作组服务器列表显示当前工作组服务器列表
108、显示当前工作组服务器列表 netview192.168.10.8 netview192.168.10.8 netview192.168.10.8 netview192.168.10.8 查看这个查看这个查看这个查看这个ipipipip上的共享资上的共享资上的共享资上的共享资源源源源netuser netuser netuser netuser 查看计算机上的用户帐号列表查看计算机上的用户帐号列表查看计算机上的用户帐号列表查看计算机上的用户帐号列表netusez:192.168.10.8movienetusez:192.168.10.8movienetusez:192.168.10.8movie
109、netusez:192.168.10.8movie将这个将这个将这个将这个ipipipip的的的的moviemoviemoviemovie共享目录映射为本地的共享目录映射为本地的共享目录映射为本地的共享目录映射为本地的z z z z盘盘盘盘 在网络邻居上隐藏你的计算机在网络邻居上隐藏你的计算机在网络邻居上隐藏你的计算机在网络邻居上隐藏你的计算机 : : : :netnetnetnetconfigconfigconfigconfigserver/server/server/server/hidden:yeshidden:yeshidden:yeshidden:yes netnetnetnetco
110、nfigconfigconfigconfigserver/server/server/server/hidden:nohidden:nohidden:nohidden:no则为开启则为开启则为开启则为开启 查看你机器的共享资源查看你机器的共享资源查看你机器的共享资源查看你机器的共享资源: netshare: netshare: netshare: netshare 上机操作命令上机操作命令lnetnet命令命令 手工删除共享(可以编个手工删除共享(可以编个手工删除共享(可以编个手工删除共享(可以编个batbatbatbat文件,开机自运行,把文件,开机自运行,把文件,开机自运行,把文件,开机自
111、运行,把共享都删除)共享都删除)共享都删除)共享都删除) netsharec$/dnetsharec$/dnetsharec$/dnetsharec$/d netshared$/dnetshared$/dnetshared$/dnetshared$/d netsharenetsharenetsharenetshareipcipcipcipc$/d$/d$/d$/d netshareadmin$/dnetshareadmin$/dnetshareadmin$/dnetshareadmin$/d 注意注意注意注意$ $ $ $后有空格。后有空格。后有空格。后有空格。增加一个共享:增加一个共享:增加
112、一个共享:增加一个共享:netsharenetsharenetsharenetsharemymoviemymoviemymoviemymovie=e:downloadsmovie/user=e:downloadsmovie/user=e:downloadsmovie/user=e:downloadsmovie/users:1s:1s:1s:1 mymoviemymoviemymoviemymovie共享成功,同时限制链接用户数为共享成功,同时限制链接用户数为共享成功,同时限制链接用户数为共享成功,同时限制链接用户数为1 1 1 1人。人。人。人。 上机操作命令上机操作命令l删除默认共享删除默认
113、共享通过修改注册表的方式取消:通过修改注册表的方式取消:通过修改注册表的方式取消:通过修改注册表的方式取消:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSHKEY_LOCAL_MACHINESYSTEMCurrentControlSetSHKEY_LOCAL_MACHINESYSTEMCurrentControlSetSHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameterservicesLanmanServerParameterservicesLanmanServerParameterservicesLanmanServerParameters:AutoShareServerAutoShareServerAutoShareServerAutoShareServer类型是类型是类型是类型是REG_DWORDREG_DWORDREG_DWORDREG_DWORD把值改为把值改为把值改为把值改为0 0 0 0即可。即可。即可。即可。
